Hvem sender du raketter efter i en cyberkrig?

Kina bliver ofte nævnt som et af de første lande, når synderen skal udpeges for cyberspionage og -angreb mod Vesten.

Kina har selv bekræftet at have en »blå online-hær« med et budget på et tocifret millionbeløb i ryggen, og adskillige cyberoperationer er blevet sporet tilbage til kinesiske computere.

Men i Kina har de også omkring 400 millioner hjemmecomputere, siger Peter Sommer, professor i cybersikkerhed ved London School of Economics. Selv hvis 99 pct. af de computere er perfekt beskyttet med antivirus-programmer, firewall og opmærksomme brugere, er der stadig én pct. tilbage, altså omkring fire millioner computere, som andre potentielt kan overtage kontrollen med og bruge til cyberangreb.

»Det særlige ved cyberangreb er den store uvished, der omgærder dem. Det er ekstremt nemt for nogen at få det til at se ud, som om de angriber dig fra ét sted, mens de i virkelighed blot har overtaget en eller flere computere fra fuldstændigt uskyldige mennesker,« siger Peter Sommer.

Han er medforfatter til en OECD-rapport fra januar, der konkluderer, at regeringer over hele verden har en alt for militæristisk tilgang til cybersikkerhed, og hvordan man beskytter sin digitale infrastruktur.

Senest har USA i en ny strategi gjort det klart, at cyberangreb fra et andet land kan sidestilles med en krigshandling og udløse et regulært militært gengældelsesangreb. Men du kan kun gengælde, hvis du er nogenlunde sikker på, hvem der har angrebet dig, påpeger Peter Sommer.

»Derfor tror jeg, at et direkte militært gengældelsesangreb praktisk talt ikke er en mulighed. Landene burde tænke meget mere på at styrke deres cyberforsvar og på at udarbejde nødplaner, så man ved, hvordan man kommer på benene igen, hvis forsvarsmekanismerne fejler,« siger Peter Sommer.

Våbenkapløb i gang

For truslen i cyberspace er reel nok, og lige nu foregår der noget, der minder om et våbenkapløb mellem landene. Ifølge Roland Heickerö, der er forskningsleder ved det svenske Totalförsvarets Forskningsinstitut, har omkring 120 lande allerede udviklet kapacitet til at udføre cyberoperationer.

»Man har defineret cyberspace som krigens femte operationsområde, efter land-, sø-, luft- og rumkrig. Man har indset, at alle lande er så ekstremt afhængige af fungerende it-strukturer, både militært og civilt, så det her er en logisk følge,« siger han.

Hver dag er der flere tusinde angreb mod amerikanske it-systemer, og alene Pentagon og de militære netværk oplevede op mod 80.000 angreb i løbet af 2008. Men samtidig med at USA beskytter sine egne netværk, har man også udviklet evnen til at angribe andre, siger Roland Heickerö.

»Forsvar og angreb er to sider af samme sag i den her sammenhæng. Når du har udviklet værktøjer til angreb, kan du også bruge dem til forsvar og omvendt, « siger han.

Truslen om militære gengældelsesangreb er da også kun et lille hjørne af USA's nye cyberstrategi, mener orlogskaptajn Peter Jacob Blædel Gottlieb, analytiker ved Forsvarsakademiet med fokus på cybersikkerhed.

Strategien sigter primært mod at skabe et samarbejde om internationale regler for området og mod at stoppe det igangværende våbenkapløb, siger han.

»Men det har lange udsigter, da nogle stater stadig vil se en fordel i et ureguleret cyberspace, hvor man kan gennemføre sine handlinger anonymt, globalt og med stort udbytte. USA kan gennem denne strategi sandsynligvis påvirke sådanne staters cost benifit-analyse,« siger han.

I dag findes der ingen internationalt anerkendt definition af cyberangreb, ligesom der ikke findes regler for, hvordan stater kan stilles til ansvar for hackerangreb udført fra computere inden for deres grænser.

Det er en udbredt antagelse, at stater hyrer private hackergrupper til at gøre det beskidte arbejde for at undgå direkte politisk og juridisk indblanding. Det har tilsyneladende været modellen ved stort set alle større cyberangreb siden 2005, hvor man ikke i et eneste tilfælde har kunnet påvise, at en stat stod bag.

Cybertruslen kommer også fra hackere, kriminelle og terrorister, men den største trussel kommer fra fremmede stater, mener Peter Jacob Blædel Gottlieb. For de har de politiske motiver og de største ressourcer til at angribe andre landes infrastruktur, typisk i sammenhæng med en umiddelbart forestående eller igangværende konflikt.

»Militær afskrækkelse virker kun mod statslige aktører, da væbnet konflikt som begreb kun føres mellem stater. Men internationale og nationale regler for efterforskning, udlevering, retsforfølgelse vil ligeledes kunne hindre mange kriminelle og hackere i deres aktiviteter,« siger han.

Det nye guldæg

Professor Peter Sommer ser ikke på samme måde det nyeste udspil fra USA som del af en samlet cyberstrategi. Han ser derimod en hel række forskellige amerikanske agenturer, der alle kæmper om indflydelse på det nye sikkerhedsområde. Strategien for internationalt samarbejde kommer fra Det Hvide Hus, mens truslen om militær gengældelse kommer fra Pentagon.

»Det er et af de store problemer, at du har alle de her agenturer, der kæmper for opmærksomhed. Derfor ser det så forvirret ud. Nu har jeg i et godt stykke tid holdt øje med, hvad der foregår i Washington, og selv om nogle af de seneste tiltag ser fornuftige ud, ser du også fortsat den her område-krig om cyberspace,« siger Peter Sommer.

Præsident Obamas cybersikkerhedsrådgiver, Howard Schmidt, har været inde på noget af det samme.

I et interview med The New Yorker fra november sidste år, slår han fast, hvad mange andre før ham har sagt: Der er ikke risiko for en regulær cyberkrig, der er blot en ny måde, som vores fjender kan ramme os på.

»Men nu er der folk, som har fundet ud af, at det er blevet en uventet karrieremulighed at advare om cyberkrig. Pludselig er de blevet eksperter, og de får en masse opmærksomhed,« sagde Howard Schmidt. På samme måde prøver de store våbenfabrikanter at presse regeringens cyberstrategi i en retning, hvor de selv kan tjene penge, mener Peter Sommer.

»Stemningen i USA går mod at engagere sig i færre konventionelle krige. Derfor ser du de her firmaer strømme ind på cyberspace-området, fordi det er det nye. Om de vil opleve de samme indtægter som før, er jeg personligt ret skeptisk omkring,« siger han.